Hlavní navigace

Google Chrome už není nedobytná pevnost, ukázali hackeři v soutěži Pwn2Own

Petr Kočí

Loni se mu podařilo projít bez újmy, letos se hackeři v soutěži Pwn2Own na bezpečnostní konferenci CanSecWest na prohlížeč Google Chrome od začátku zaměřili. Včera jako první předvedli, jak je možné prolomit jeho důmyslnou obranu. Cílem soutěže je využít bezpečnostních děr ve webových prohlížečích a získat skrze ně plnou kontrolu nad počítačem nebo mobilním zařízením, na němž jsou spuštěny.

Loni se mu podařilo projít bez újmy, letos se hackeři v soutěži Pwn2Own na bezpečnostní konferenci CanSecWest na prohlížeč Google Chrome od začátku zaměřili. Včera jako první předvedli, jak je možné prolomit jeho důmyslnou obranu.

Cílem soutěže je využít bezpečnostních děr ve webových prohlížečích a získat skrze ně plnou kontrolu nad počítačem nebo mobilním zařízením, na němž jsou spuštěny.

Hackerský tým Vupen, který loni jako první úspěšně překonal zabezpečení prohlížeče Safari, se letos zaměřil právě na Google Chrome. Šest týdnů pracovali jeho členové na kódu, který při návštěvě nastraženého webu spustí jedno z rozšíření prohlížeče, kalkulačku, mimo chráněné prostředí sandboxu. Tím demonstrovali ovládnutí celého počítače s aktuální 64 bitovou verzí operačního systému Windows 7.

Vupen už dříve zveřejnil video, ve kterém tvrdil, že se mu podařilo zabezpečení Chrome obelstít. Google to ale popřel s tím, že nešlo o bezpečnostní chybu v samotném prohlížeči, nýbrž v některém z rozšiřujících modulů dodávaných třetími stranami, pravděpodobně v přehrávači Adobe Flash.

Vupen nevysvětlil, jak přesně postupoval při včerejším průniku, jen zdůraznil, že šlo o běžnou verzi prohlížeče bez nainstalovaných doplňků. Vzhledem k tomu, že Flash je součástí základní instalace Google Chrome, mohli ho hackeři využít i tentokrát.

Ačkoli tedy padl mýtus o jeho nedobytnosti, Google Chrome je podle člena Vupenu Chaoki Bekrara stále nejbezpečnějším z hlavních prohlížečů. “Sandbox v Google Chrome je nejlépe zabezpečený ze všech. Není jednoduché vytvořit exploit, který veškerá zabezpečení obchází.”

Zdroj: The Verge

Našli jste v článku chybu?
Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Měšec.cz: Sleva na dítě a manželku pro OSVČ je zpět. Ale..

Sleva na dítě a manželku pro OSVČ je zpět. Ale..

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph